大数据领域国内外立法及中国国家标准推进情况综述

刘莹莹 史江峰

一、引言

2020 年4 月9 日，中共中央、国务院印发了《关于构建更加完善的要素市场化配置体制机制的意见》，其中，数据被首次列为与土地、劳动力、资本、技术相并列的生产要素。随着数据应用领域的不断扩展，数据又被称为“21 世纪的石油”。然而，在数据被广泛应用于多个领域的过程中，对数据的采集、传输、标记、存储、分析处理、管理、呈现等环节逐渐显现出了权属不清、无法可依等乱象，因此，通过立法保护个人权益并规范数据在多个环节的使用和处理，成为推动数字经济更好发展的一项必须的任务；同时，由于各种大数据产品被应用于各行各业，因此，急需通过标准化的途径规范认知，整合资源，促进各方达成共识，为中国大数据产业的健康发展打下基础，为数据安全应用提供保障。

二、大数据领域国外立法情况概述

为了解及对比国际上对数据保护的相关政策，本文对欧盟及美国大数据领域立法情况进行了简单的梳理。

（一）欧盟

为了保护个人数据隐私，欧盟于2016 年4 月14日出台制定了《通用数据保护条例》（General Data Protection Regulation，GDPR），该条例设置了两年的缓冲期，并于2018 年5 月28 日正式生效，可以直接适用于欧盟各个成员国。

GDPR 是一项比较全面的法律，其赋予了欧盟居民更多的个人数据控制权，并试图澄清在线服务对欧洲用户使用的规则和责任。欧盟的每个成员国都可以有自己的GDPR 执行机制。除了欧盟的公司以外，GDPR 面向所有收集、处理或管理欧盟成员国公民个人信息的组织，其限制了这些组织收集与处理用户个人信息的权限，因此，从实质上来看，该条例为个人数据处理和保护设定了一个相对严格的统一标准①欧盟新数据保护法详解：与你我也有关，https://baijiahao.baidu.com/s?id=1601422824638867312&wfr=spider&for=pc&searchword=%E6%AC%A7%E7%9B%9F%E6%95%B0%E6%8D%AE%E4%BF%9D%E6%8A%A4%E6%B3%95，2018 年5 月25 日。。GDPR 保护广泛的个人数据，例如，不仅可以保护姓名、电话等个人的直接信息，也可以保护个人的网络信息和间接信息。GDPR 规定了企业必须将保护个人信息和数据融入到产品的最初设计和公司的日常运营中，要求使用数据的数据拥有者以及处理数据的数据处理者都要承担合规风险和义务，并规定企业必须获得数据提供者关于某明确合法用途的授权，以及出示数据获取方法的证明。GDPR 保护消费者权益并且设立了严格的处罚机制，其对未成年人还具有特殊保护政策，要求必须经过监护人的同意才能处理16 岁及以下儿童的个人信息②解读欧盟通用数据保护条例(GDPR)，https://www.sohu.com/a/233200887_463913，2018 年5 月28 日。。

为了保证GDPR 的适用性和标准执行的一致性，欧盟数据保护委员会（EDPB）在2020 年发布了数个包括新冠疫情、新技术、个人数据传输等与数据保护相关的通用指南，具体有《车联网个人数据保护指南》《公共机构间个人数据传输指南》《关于新冠疫情中为科学研究目的处理健康数据的指南》《关于在新冠疫情中使用位置数据和接触追踪工具的指南》《关于GDPR 中有关同意的指南》《关于〈支付服务指令II〉和GDPR 协调适用关系的指南》《关于GDPR 中控制者和处理者概念的指南》《关于针对社交媒体用户提供定向服务的指南》《关于GDPR 中“相关且合理异议”的指南》《关于GDPR 第23 条限制主体权利的指南》《关于确保符合欧盟个人数据保护水平而采取数据跨境传输工具补充措施的建议》《关于通过视频设备处理个人数据的指南》《关于GDPR 搜索引擎案件中被遗忘权认定标准的指南》和《关于 GDPR 第25 条的设计和默认隐私保护指南2.0》③欧盟数据保护委员会（EDPB）在2020 年都发布了哪些指南？刘笑岑，“互联网mate”微信公众号，2021 年6 月5 日。。

2002 年，欧盟委员会发布了《电子隐私指令》（ePD），并于2009 年对ePD 做了最后一次的修订。2017 年1 月，欧盟委员会发布了《电子隐私条例》（ePR）草案，该草案的目的是希望可以将ePD 转变为法规。后续欧洲理事会对文本进行了很多次的修改，最终在2021 年2 月10 日，常驻代表委员会通过了《ePR 提案》，这是迄今为止文本的第14 个草案。现在，轮值主席国葡萄牙将开始与欧洲议会就电子PR的最终文本进行谈判④下一代隐私：审视欧盟电子隐私条例（EU’ s ePrivacy Regulation，ePR），何渊，“数据法盟”微信公众号，2021 年3 月8 日。。

为了使欧盟成为世界上最具吸引力、竞争力和最安全的数字经济体，欧盟委员会在2020 年2 月19日发布了《欧洲数据战略》的总体规划。2020 年11月25 日，欧盟委员会通过了欧盟《数据治理法》草案，该草案是在《欧洲数据战略》规划下公布的第一个成果，其目的是在欧洲共同数据空间的政策下，通过增加对数据中介机构的信任，并通过加强整个欧盟的数据共享机制，来为公共数据的二次利用建立一个统一的架构。2020 年12 月15 日，欧盟公布了《数字服务法》（Digital Service Act,DSA）和《数字市场法》（Digital Market Act,DMA）两部草案。其中，《数字服务法》更新了欧盟现有的《电子商务指令》，对向欧盟用户提供服务的在线中介服务提供者的法律责任和义务制定了新规则。《数字市场法》则从业务规模、用户数量和预期地位来判断对欧盟内部市场有影响的平台是否是“守门人”，强调了对“守门人”要增强监管，以防止科技巨头差异化地对待企业和消费者，并遏制大型网络平台的不良竞争行为。

2021 年4 月21 日，欧盟委员会公布了制定关于人工智能的统一规则并修正了一些联盟立法法案的条例，其中，大部分内容侧重于高风险的人工智能系统。上述内容是欧盟委员会及其顾问几年来准备工作的结果，包括发表了一份“人工智能白皮书”，是欧盟委员会在欧洲数据战略中的一个关键部分⑤重磅！欧盟全新《人工智能法》及配套立法包含哪些内容？，何渊，“数据法盟”微信公众号，2021 年4 月23 日。。

（二）美国

在联邦层面，1974 年12 月，美国国会通过了《隐私权法》，该法案旨在保护公民隐私权和知情权，具体针对联邦行政部门收集、利用和保护个人数据等方面做出了规定。

1999 年，美国颁布了《金融服务现代化法》，该法案规定了金融信息的收集、使用和披露的规则，限制了非公开个人信息的披露，数据主体有选择不共享其信息的自由。

1970 年颁布的《公平信用报告法》与2003 年颁布的《公平准确信用交易法》明确规定了消费者信用信息的使用用途。

2012 年3 月，白宫发布《大数据研究和发展倡议》，并成立了大数据高级指导小组。2013 年11 月，白宫推出“数据-知识-行动”计划。2014 年5 月，美国总统办公室提交《大数据：把握机遇，维护价值》政策报告。2015 年，白宫发布报告《大数据：抓住机遇、保持价值观》。2016 年5 月，白宫发布《联邦大数据研发战略计划》。2016 年7 月，国家科技委员会（NSTC）发布《国家隐私研究战略》。2016 年10 月，联邦通信委员会制定了针对网络服务提供商的隐私条例。

2018 年6 月，作为第一个颁布数据泄露报告法的州，加州立法机构颁布了加州里程碑式的《加州消费者隐私法》（CCPA），该法案为加州的“消费者”赋予了新的数据隐私权，并要求机构遵守其规定的综合性隐私框架⑥美国保护个人数据隐私的法律法规及监管体系，https://www.163.com/dy/article/ETO4OMOU0514R8DE.html，2019 年11 月11 日。。2020 年11 月3 日，加州通过了《2020 年加州隐私权法》（CPRA），该提案修正并扩展了CCPA，为加州居民确立了新的数据隐私权，对企业和服务提供商施加了新的义务和责任，并将创建一个独立的数据监管机构，授权其实施加州隐私法并起诉违规行为。CPRA 将于2023 年1 月1 日生效，除一些例外情况外，将适用于2022 年1 月1 日之后由机构收集的加州居民个人信息⑦全网首发-加州隐私权法，何渊，“数据法盟”微信公众号，2021 年2 月22 日。。

2021 年3 月2 日，美国弗吉尼亚州颁布了《消费者数据保护法》，并且，由于该法案，弗吉尼亚州成为了美国第二个制定全面隐私立法的州。

三、大数据领域国内立法情况概述

（一）国家立法

2016 年11 月7 日，中国颁布《中华人民共和国网络安全法》（以下简称《网络安全法》），这是中国第一部关于网络安全的整体性立法。《网络安全法》维护网络数据的完整性、保密性、可用性，防止网络数据的泄漏或者被窃取、篡改，不准提供专门用于危害网络安全的程序、工具，并且对关键信息基础设施做出了规定，同时规定了重要数据应储存在境内，未经网信部门或国务院有关部门的安全评估不得跨境传输，并要求建立监测预警和应急处置制度，可见，《网络安全法》明确将数据作为独立的法益进行保护，规定了公民对个人信息的权利，并且首次提到“重要数据”这一概念，重要数据应储存于境内，未经审批不得进行跨境流动，这为以后的《中华人民共和国数据安全法》奠定了基础⑧曾磊，数据跨境流动法律规制的现状及其应对——以国际规则和中国《数据安全法（草案）》为视角[J]，中国流通经济，2021(6):96-106.。

2021 年6 月10 日，第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》（以下简称《数据安全法》），自2021 年9月1 日起施行。《数据安全法》包括数据安全与发展原则、数据分级分类原则、促进数据跨境安全与自由流动、数据安全相关制度、相关主体的数据安全保护义务、政务数据安全与开放及违法行为的法律责任等内容。在《数据安全法》中，其对数据处理、数据安全均进行了明确定义，提出了建立数据分级分类管理制度，确定重要数据保护目录，明确政务数据在数字化转型中起到的重要作用，并明确指示了政务数据的开发利用。

2021 年8 月20 日，第十三届全国人民代表大会常务委员会第三十次会议通过了《中华人民共和国个人信息保护法》。其中，明确了个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息，个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。同时，草案中确立了以“告知—同意”为核心的个人信息处理规则，即：处理个人信息应当在事先充分告知的前提下取得个人同意，并且个人有权撤回同意；重要事项发生变更的应当重新取得个人同意；不得以个人不同意为由拒绝提供产品或者服务。

（二）地方条例

根据中国的大数据发展战略，各个省市政府也相继出台了大数据相关条例，积极推动本地的大数据产业发展。

2016 年1 月15 日，贵州省人大常委会通过了《贵州省大数据发展应用促进条例》，这是中国首部大数据地方法规。该条例依据贵州大数据应用的现实需求和发展趋势，对数据采集、共享开发、权属、交易、安全以及“云上贵州”等问题作出了规定。

2018 年12 月14 日，天津市人大常委会通过了《天津市促进大数据发展应用条例》，其结合天津市的实际情况，对政务数据、社会数据和数据安全等进行了规定。

2020 年12 月24 日，浙江省人大常委会通过了《浙江省数字经济促进条例》，明确将重点推进新一代大数据中心、人工智能、区块链等新兴数字基础设施建设，是中国第一部以促进数字经济发展为主题的地方法规。

2021 年3 月26 日，安徽省人大常委会通过了《安徽省大数据发展条例》，其在数据资源、开发应用、促进措施、安全管理和法律责任方面进行了规定。

2021 年7 月6 日，深圳人大常委会公布了《深圳经济特区数据条例》，该条例涵盖了个人数据、公共数据、数据要素市场、数据安全等，是中国数据领域中第一部基础性、综合性的立法。

2021 年11 月25 日，上海市人大常委会表决通过《上海市数据条例》。该条例以促进数据利用和产业发展为基本定位，聚焦于数据确权、数据交易和数据安全管理。

2021 年12 月15 日，福建省人大常委会表决通过了《福建省大数据发展条例》，并于2022 年2 月1日起开始施行。该条例从数据资源、基础设施、发展应用、数据安全、保障措施和法律责任等方面对大数据的发展作出了具体规定。

四、大数据领域的中国国家标准

中国大数据产业高速发展，各级政府和企业大力推进。大数据标准化是大数据产业发展的重要支撑，为进一步发挥大数据领域的标准化作用，促进大数据技术的推广和应用，同时保证大数据标准化活动有序开展，中国于2014 年12 月2 日成立了全国信标委大数据标准工作组(以下简称工作组)，该工作组由工业和信息化部及国家标准化管理委员会共同领导，主要开展大数据标准体系建立、大数据技术和标准研制、推动国际标准化等工作⑨卫风林，张群，尹卓。大数据系统类国家标准研制与应用[J]，信息技术与标准化，2020(7):50-53.，相继出台了多项大数据相关的国家标准以及针对特定行业的管理标准。

（一）国家技术标准

2017 年，中国发布了首批大数据领域的国家标准，包括：GB/T 35295-2017《信息技术 大数据术语》和GB/T 35589-2017《信息技术 大数据技术参考模型》。前者针对大数据系统给出了明确的定义，它首先界定出“大数据参考体系结构”的定义，将大数据参考体系结构界定为一种高层概念模型，并对其包含的逻辑功能构件进行了解释。后者给出了“大数据参考架构”的定义，并以大数据参考架构图的形式对此概念进行了描述。

2019 年发布的GB/T 37722-2019《信息技术 大数据 存储与处理系统功能要求》规定了大数据存储与处理系统由大数据存储子系统和大数据处理子系统构成。

2019 年发布的GB/T 37721-2019《信息技术 大数据 分析系统功能要求》给出了大数据分析系统的定义：“在大数据存储和处理系统提供的原始数据和计算框架的基础上，集成了一系列数据分析生存周期过程中所用工具的系统”⑩同注释⑨。。其针对大数据分析系统架构中各模块的功能提出要求，包括数据准备、分析支撑、数据分析和流程编程4 个模块。

2020 年发布的GB/T 38633-2020《信息技术 大数据系统运维和管理功能要求》规定了大数据系统的运维和管理功能，包括安装部署、配置管理、租户管理、监控告警管理、服务管理、健康检查和日志管理功能的要求。

2020 年发布的GB/T 38673-2020《信息技术 大数据 大数据系统基本要求》标准中，定义了大数据系统框架，将大数据系统划分为数据收集、数据预处理、数据存储、数据处理、数据分析、数据访问、数据可视化、资源管理和系统管理9 个模块。

（二）行业标准

《信息安全技术 基因识别数据安全要求》为2020年的标准制定项目，国家标准计划号为20205158-T-469。该标准定义了基因识别数据，并对基因识别数据在各场景各活动中的安全处理及安全管理要求进行了规定，以保障基因识别数据各场景各活动中的安全。

2020 年12 月14 日，信安标委正式发布了《信息安全技术 健康医疗数据安全指南》（GB/T 39725-2020），其对个人健康医疗数据进行了明确定义，将个人健康医疗数据分为6 个类别，并在每个类别下给出了具体范围，同时，还针对应用于临床研究的医药医疗研发的数据提出了更详细的去标识化的要求。

2021 年3 月，国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合制定了《常见类型移动互联网应用程序必要个人信息范围规定》，明确规定了移动互联网应用程序（App）运营者不得因用户不同意收集非必要个人信息，而拒绝用户使用App 基本功能服务。

2021 年4 月28 日，《信息安全技术 网联汽车 采集数据的安全要求》标准草案发布，规定了网联汽车采集的数据在传输、存储和跨境等环节的安全要求；适用于规范具有联网功能的量产乘用车数据处理相关活动，也适用于相关部门、第三方测评机构等组织开展网联汽车数据处理监管、评估工作。

五、结语

随着大数据领域的飞速发展，数据安全与治理成为近年来社会关注的焦点问题之一，数据安全与治理的重要目标是提高数据质量和保证数据安全性，推进信息资源的整合、对接和共享。对大数据领域国内外立法以及中国国家标准推进概况进行梳理分析，有助于我们更好地基于专利保护制度进行数据合规审查。一方面，对数据采集的法律法规深入研究，明确专利法第5 条的相关审查规则,从专利制度层面保护公众的合法权益，让技术创新服务于营造良好数字生态，才能促进大数据领域的健康发展；另一方面，加强对大数据领域技术、行业标准相关专利的保护，对提高数据质量、促进产业数字化转型也有重要意义。

专家点评

本文梳理了欧盟及美国在大数据领域的立法情况，并重点关注了该领域国内立法情况以及国家标准的推进情况，通过国内外政策的横向对比，有助于运用专利保护制度进行数据合规审查，同时为解决数据安全与治理这一社会关注问题提供一定的法律依据。